内网安全检查总结
2020-08-12 16:52:45 0 举报AI智能生成
内网安全建设总结
作者其他创作
大纲/内容
信息收集
主机发现
使用端口扫描工具可以实现主机发现
端口扫描
nmap
masscan
Metasploit
漏洞扫描
Nessus
Nexpose
识别内网环境
分析目标的网络结构
办公网
系统区分
OA系统
邮件系统
财务系统
文件共享系统
域控
企业版杀毒系统
上网行为管理系统
内部应用监控系统
网络区分
管理网段
内部系统网段
按照部门区分的网段
设备区分
个人电脑
内网服务器
网络设备
安全设备
生产网
系统区分
业务系统
运维监控系统
安全系统
网络区分
各不同的业务网段
运维监控网段
安全管理网段
安全防御策略
渗透介绍
攻击思路
攻击外网服务器
攻击办公网的系统、办公网电脑、办公网无线等方式
敏感资料/数据/信息
高管/系统管理员/财务/人事/业务人员的个人电脑
文件服务器/共享服务器
邮件服务器
OA服务器
数据库服务器等
攻击过程
信息收集
漏洞验证/漏洞攻击
后渗透
日志清理
工具
Kali
GitHub开源工具
渗透注意事项
检查内网监控防范系统
谨慎使用ARP软件和大面积扫描软件
使用目标网络中无空闲机器,作为打包对象
使用内网大流量机器作为传输对象,如wsus服务
器、视频会议系统
使用临时机器打包、数据传输,不要使用已控机器,
可利用wmi脚本或wmic远程操作
禁止使用psexec.exe
打包时避开用户工作时间
控制卷包大小<100M
选择用户常用压缩软件
错峰下载数据
控制传输流量
清除所有操作日志
登录主机前先看看管理员是否在
后渗透
提权
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/SecWiki/linux-kernel-exploits
域攻击
域内渗透的过程
确定目标系统和应用程序
识别潜在的漏洞
利用漏洞获得初始访问
提升权限
定位域管理进程或者获取远程系统上的本地身份验证令牌
通过本地管理员的密码Hash,破解密码,
使用mimikatz工具抓取密码验证运行在远程系统上的域名管理进程
迁移域管理进程
创建一个域管理员
工具
Empire
https://www.anquanke.com/post/id/87328
PowerUp
PowerView
mimikatz
Metasploit
建立后门/端口转发
端口转发及代理类工具
LCX
sockscap
proxifier
Rsscoks
Proxychains
ssh proxy
netcat
metasploit模块
中转服务器下载端口转发工具
能连接互联网下载
通过 mstsc 的磁盘加载
通过入口服务器中转
通过远程控制软件上传
传输文件
文件打包
rar.exe a–r –v100m new.rar –ta20130101000000 –hpPass –n*.doc –x*.exe d:\data\
7z.exe a c:\xx.7z -pPass -mhe d:\data -v100m
tar -zcvf - pma|openssl des3 -salt -k password | dd of=pma.des3
dd if=pma.des3 |openssl des3 -d -k password|tar zxf -
文件传输
使用端口转发直接传送数据
搭建 FTP、HTTP 协议
上传到云端再下载
制作后门/木马程序
msfvenom
SET 也可以生成后门程序
最新的 Office、PDF 的漏洞
日志清理
了解以下的内容
攻击和入侵很难完全删除痕迹
没有日志记录本身就是一种入侵特征
删除或清理入侵系统的本地日志不代表删除了痕迹,
在网络设备、安全设备、集中化日志系统上仍然留存记录
留存的后门本身会有攻击者的信息
使用的代理或跳板可能会被反向入侵
在操作前检查是否有管理员登录
删除上传的工具,使用磁盘覆写的功能删除
Windows日志类型
web日志:IIS、Apache以及其它web日志
操作日志:3389登录列表、最近访问文件、
IE等浏览器访问日志、文件访问日志
登录日志:系统应用日志-安全日志等
攻击前和状态还原,尽量保持一致
Linux操作日志
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
SSHD登陆记录
删除~/.ssh/known_hosts中记录
修改文件时间戳
touch –r 原文件要修改文件
删除临时使用文件,尤其是tmp目录
logtamper
漏洞攻击
Web
自定义 Web 应用
注入
上传
代码执行
文件包含等
Web 中间件
Tomcat
端口:8080
攻击方法
默认口令
tomcat/tomcat
role1/tomcat
both/tomcat
弱口令
爆破
在管理后台部署 war 后门文件
远程代码执行漏洞
Jboss
端口:8080
攻击方法
弱口令,爆破
管理后台部署 war 后门
反序列化
远程代码执行
WebLogic
端口:7001,7002
攻击方法
弱口令、爆破,弱密码
weblogic/weblogic
weblogic/Oracle@123
管理后台部署 war 后门
SSRF
反序列化漏洞
weblogic_uac
WebSphere
端口:默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090
攻击方法
控制台登录爆破
弱口令
admin/admin
webshpere/webshpere
部署 war 后门
反序列化
任意文件泄露
Glassfish
HTTP端口号是8080,IIOP端口号是3700,控制台端口为4848
攻击方法
目录穿越漏洞
任意文件读取漏洞
登录爆破
默认密码
admin/adminadmin
Web 框架
Struts2
S2-005
S2-046等
Spring 框架
CVE-2010-1622
CVE-2018-1274
CVE-2018-1270
CVE-2018-1273
反序列化
目录穿越
Web服务器
IIS
端口:80
攻击方法
IIS,开启了 WebDAV,可以直接详服务器 PUT 文件
短文件名枚举漏洞
远程代码执行
提权漏洞
解析漏洞
Apache
端口:80
攻击方法
解析漏洞
目录遍历
Nginx
端口:80
攻击方法
解析漏洞
目录遍历
CVE-2016-1247
lighttpd
端口:80
攻击方法
目录遍历
常见运维系统
Gitlab
任意文件读取漏洞
任意用户 token 泄露漏洞
命令执行漏洞
Jenkins
远程代码执行漏洞
反序列化漏洞
未授权访问漏洞
登录入口爆破
Puppet
反序列化
远程命令执行
Ansible
远程代码执行
Nagios
代码执行
SQLi
Zabbix
远程代码执行
SQLi
shell 命令注入
认证绕过
默认账户与密码,默认口令 admin/zabbix,或者是guest/空
Cacit
任意代码执行
SQLi
登录爆破
默认密码admin/admin
Splunk
信息泄露
命令注入
服务端请求伪造
常见 Web 应用
邮件系统
Coremail
亿邮
35互联
TurboMail
Exchange
IBM Lotus
CMS应用
dedecms
骑士cms等
数据库/缓存/消息服务
MySQL数据库
默认端口:3306
攻击方法
爆破:弱口令
身份认证漏洞:CVE-2012-2122
拒绝服务攻击
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意
提权
MSSQL数据库
默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)
攻击方法
爆破:弱口令/使用系统用户
注入
Oracle数据库
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方法
爆破:弱口令
注入攻击
漏洞攻击
PostgreSQL数据库
默认端口:5432
攻击方法
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
MongoDB数据库
默认端口:27017
攻击方法
爆破:弱口令
未授权访问
Redis数据库
默认端口:6379
攻击方法
爆破:弱口令
未授权访问+配合ssh key提权
SysBase数据库
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击方法
爆破:弱口令
命令注入
DB2 数据库
默认端口:5000
攻击方法
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
常见服务/协议
FTP 服务
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式
爆破
匿名访问:用户名:anonymous 密码:为空或任意邮箱
嗅探:ftp使用明文传输技术
后门 vsftp
远程溢出
跳转攻击
NFS 服务
默认端口:2049
攻击方法
未授权访问
Samba服务
攻击方法
远程代码执行
弱口令
未授权访问(public)
SSH 服务
端口:22
攻击方法
爆破
后门
漏洞:28退格漏洞、OpenSSL漏洞
Telnet 服务
默认端口:21
攻击方法
爆破
嗅探
Windows 远程连接
默认端口:3389
攻击方法
爆破
Shift粘滞键后门:5次shift后门
利用ms12-020攻击3389端口
VNC服务
默认端口:5900+桌面ID(5901;5902)
攻击方式
爆破:弱口令
认证口令绕过
拒绝服务攻击:(CVE-2015-5239)
权限提升:(CVE-2013-6886)
SMTP协议
默认端口:25(smtp)、465(smtps)
攻击方式
爆破:弱口令
未授权访问
POP3协议
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击方式
爆破;弱口令
未授权访问
DNS服务
默认端口:53
攻击方式
区域传输漏洞
IMAP协议
默认端口:143(imap)、993(imaps)
攻击方式
爆破:弱口令
配置不当
SNMP协议
默认端口:161
攻击方式
爆破:弱口令
DHCP服务
默认端口:67&68、546(DHCP Failover做双机热备的)
攻击方式
DHCP劫持
云环境
VMware
主机逃逸
CVE-2017-5638
OpenStack
权限绕过漏洞
信息泄露
代码执行漏洞
Docker
内核漏洞
拒绝服务攻击
容器突破
有毒镜像
大数据
Elsaticsearch
默认端口:9200、9300
攻击方法
未授权访问
远程命令执行
文件遍历
低版本webshell植入
hadoop
未授权访问
信息泄露
远程命令执行
Hive
命令执行
Sqoop
HBase
CVE-2015-1836
信息泄露
未授权访问
Spark
未授权访问
0 条评论
下一页
为你推荐
查看更多
